Android 默认主机名验证程序

我正在浏览下面的文章- 并在下面的文本中找到-

如果另一个虚拟主机 主人不在你的控制之下，因为中间有人在攻击 可能会在您不知情的情况下将流量定向到另一台服务器

---

如果我们没有设置

urlConnection.setHostnameVerifier（hostnameVerifier）在客户端的代码中，当文档谈到替换HostnameVerifier时，客户端是否有任何默认的主机名验证器？如果是，默认的HostnameVerifier是如何工作的？
是，如果您没有设置自定义主机名验证器，HttpsUrlConnection将使用

这实际上是最佳实践——将此验证留给平台

合法的例外情况可能是在默认验证器之上添加额外的保护层，例如，当您想要强制执行某种自定义时
证书固定（但为什么不遵循不涉及此问题的规则？）

在很少的情况下，您可能希望稍微放松默认检查，例如，如果您只是拥有一些没有SNI的子域，并且必须将其视为主域。
是，如果您没有设置自定义主机名验证程序，则HttpsUrlConnection将使用

这实际上是最佳实践——将此验证留给平台

合法的例外情况可能是在默认验证器之上添加额外的保护层，例如，当您想要强制执行某种自定义时
证书固定（但为什么不遵循不涉及此问题的规则？）

在极少数情况下，您可能希望稍微放松默认检查，例如，如果您只是拥有一些没有SNI的子域，并且必须将其视为主域。
请注意，谷歌支持常见问题解答：如果您对该漏洞有技术问题，您可以发布到堆栈溢出并使用标记“android安全性”有关解决此问题需要采取的步骤的说明，您可以联系我们的开发人员支持团队。请注意，Google支持常见问题解答：如果您对该漏洞有技术问题，可以发布到Stack Overflow并使用标签“android security”。有关解决此问题需要采取的步骤的说明，您可以联系我们的开发人员支持团队。